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Abstract of DE1 9857683 


; The system has a main controller (1) bus coupled to different processors (11,12) via a number of 


decentralized data receivers (4-10). Connected to the bus is a watchdog unit that monitors safety 


' critical parameters. The watchdog controller has embedded software that allows functions and actions 


; to be selected. 
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Prufungsantrag gem. § 44 PatG 1st gestellt 

® Verfahren zur Sicherheitsuberwachung von Steuerungseinrichtungen 

® Es wird ein Verfahren zur Erhdhung der Sicherheit bei 
Automatisierungseinrichtungen beschrieben. Das Verfah- 
ren ist derart ausgelegt daB man ubliche Steuerungsein- 
richtungen mit dezentralen Peripheriegeraten in Bezug 
auf sicherheitsrelevante Vorgange und Ablaufe redun- 
dant uberwacht und da mit gehobenen Sicherheitsanfor- 
derungen zum Schutz von Leben und Gesundheit von 
Personen oder Maschinenteilen gerecht wird. Bei dem 
vorgestellten Verfahren wird eine weitreichende Tren- 
nung zwischen dem Steuerungssystem und der Sicher- 
heitseinrichtung erreicht, so deS eine nachtragliche In- 
stallation in einfachster Form moglich wird. Zusatzlich ist 
man in der Lage, sowohl das Steuerungssystem als auch 
die Sicherheitseinrichtung unabhangig zu programmle- 
ren und zu prufen. 
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Beschreibung 



Die Erfindung bezieht sich auf ein Verfahren zur Sicher- 
heitsUberwachung von Steuerungseinrichtungen. 

Steuerungseinrichtungen werden nach dem heutigen 5 
Stand der Technik uberall dort eingesetzt, wo Prozesse, Ab- 
iaufe oder sonstige elektromechanische Einricbtungen zu 
steuern, regeln, tiberwachen oder zu visualisieren sind. Im 
engeren Sinne verwendet man hierzu oftmals speicherpro- 
grammierbare Steueningen oder Mikrorechner. T\pische 10 
Anwendungsgebiete sind Automatisierungsinseln, Ferti- 
gungsstrafien, Bearbeitungszentren oder chemische Einricb- 
tungen. 

Nicht selten enthalten diese vorher genannten Prozesse si- 
cherheitsrelevante Abiaufe, die eine Gefahrdung filr Perso- 15 
nen oder Teile der Maschine darstellen. Won den fehlerhafte 
Zustanden der Steuerung gehen dann extreme Gefahren aus, 
die unbedingt von Personen oder sonstigen Einricbtungen 
fern zu halten sind. Beispiele hierftir sind unkontrollierte 
Bewegungen von Robotern, vorzeitiges Bewegen von Dreh- 20 
oder Fraseinrichtungen, ungewollte Beschleunigungen oder 
falscbe Drehzahlen von Rotationseinrichtungen oder verzo- 
gertes Abschalten von Heiz- oder Dosierprozessen bei che- 
mischen Anlagen. Die Ursachen dieser fatalen Febler sind 
vielfaltig. Zumeist liegt aber ein Programmierfehler, ein un- 25 
kontrolliertes Verhalten durch elektromagnetische Einfltisse 
oder eine sonstige Stoning vor, die den ProzeB in eine nicht 
definierte Situation bring t. 

Diese Fehlerarten sind in der literatur (insb. in Nor- 
mungswerken, vergl. DIN 19251) hinreichend beschrieben. 30 
Gleichfalls stellt die Norm bereits Konzepte vor, wie man 
derartige Fehler erkennt und eliminiert (z. B.: DIN V 0801). 
Ferner bieten verschiedene Hersteller von Steuerungsein- 
richtungen bereits vollstandige Losungen an, die fur sicher- 
heitsrelevante Einrichtungen (wie vorgestellt) zu verwenden 35 
sind (siehe Produktangebote Siemens (115/155F) oder Pro- 
dukte der Hersteller Pilz und Hima). 

Alle bekannten Losungen basieren darauf, daB man ent- 
weder die gesamte Steuerungseinrichtung oder Teile der 
Steuerungseimichtung redundant auslegt So entsteht ein 40 
Gesamtsystem, das man bei alien sicherheitsrelevanten 
Komponenten entweder doppeit oder dreifach projektiert 
werden muB. Insbesondere stellt die Sicherheitseinrichtung 
bei einer derartigen Steuerung einen festen Bestandteil des 
Gesamtsystems dar. Jede Anderung oder Anpassung an den 45 
ProzeB muB sorgsam (im Hinblick auf die Sicherneitsfunk- 
tion) durchgefUhrt werden, da aucb nichtsicherheitsrele- 
vante Hard- oder Softwarekomponenten einen EinfluB auf 
die Sicherheitseinrichtung haben konnen. Im schlimmsten 
Fall kSnnte sogar die Anderung eines Parameters zum Ab- 50 
sturz der Sicherheitseinrichtung fiihren. 

Bereits in der Vergangenheit war man daher stets bemttht, 
reine Steuerungsabiaufe von sicherheitsrelevanten \forgan- 
gen zu trennen (siehe auch Patent DE 35 02 387 oder Fach- 
artikei "SPS in der Sicherheitstechnik", SPS-Magazin, Feb J 55 
Marz 1990) Nach wie vor stellen auch diese Konzepte Ver- 
fahren dar, die zwar ohne Verdopplung der Hardware aus- 
kommen, aber die sicherheitsrelevante Funktion in der Ge- 
samtprojektierung der Steuerung benodgen. 

Der Erfindung liegt die Aufgabe zu Grunde, die Steue- 60 
rungseinrichtung und die Sicherheitsfunktion vollkommen 
zu trennen. Mit der Erfindung wind es mftglich, den Steue- 
rungsteil vollstandig vorher aufzubauen, zu testen und in 
Betrieb zu nehmen. Die sicherheitsrelevanten Komponenten 
lassen sich dann nachtraglich hinzufugen, ohne die Steue- 65 
rungsfunkuon zu an dem. Auch nach der Installation beider 
Systeme (Steuerungseinrichtung und Sicherheitssystem) 
lassen sich Steuerungsfunktionen andern, hinzufugen oder 



heraustrennen, ohne daB die Sicherheitsfunktion davon be- 
troffen ist Insbesondere besteht die Mbglichkeit, alle Si- 
cherheitsverkniipfungen im einzelnen unabhangig zu prU- 
fen. 

Diese Aufgabe wird erfindungsgemaB durch die kenn- 
zeichnenden Merkmale des Anspruchs 1 gelost, wahrend die 
weiteren Anspriiche (2-10) vorteilhafte Auspragungen des 
Verfahrens darstellen. 

In Fig. 1 ist die Funktionsweise des zu Grunde liegenden 
Verfahrens dargestellt Hierbei besteht das Automatisie- 
rungssystem aus einer Steuerung, einem Bus-System und 
mehreren dezentralen Komponenten, die den ProzeB steuem 
oder uberwachen. Damit stellt die Fig. 1 eine typische Ein- 
richtung dar, die (ohne die grau hinterlegten Komponenten) 
fur alle nichtsicherheitsrelevanten Systeme geeignet sind. 
Die Anordnung entspricht dem heutigen Stand der Technik. 

Im Detail steuert oder regelt die Steuerung (1) den ge- 
wiinschten ProzeB. Ober das angeschlossene Bus-System 
(3) holt sie Daten vom ProzeB (11, 12) oder gibt sie Daten 
zum ProzeB aus. Die dezentralen Einheiten (4-10) empfan- 
gen alle Daten vom Bus-System (3) oder stellen dem ProzeB 
(11, 12) ihre Daten zur Verfugung. Damit sind die dezentra- 
len Einheiten nur vorgelagerte Ein-/Ausgabe-Baugruppen, 
die ohne ein Bus-System als Peripheriebaugruppen in der 
Speicherprogrammierbaren Steuerung zu finden sind. Die 
Steuerung (1) enthalt ein Programm (Software) das alle 
nichtsicherheitsrelevanten Vorgange steuert oder regelL Fer- 
ner enthalt sie bereits in ihrem Programm auch die logischen 
Funktionen fur die Sicherheitsverkniipfungen, die fur si- 
cherheitsrelevante Vorgange notwendig sind. So enmalt bei- 
spielsweise der ProzeB (U) keine aber der ProzeB (12) si- 
cherheitsrelevante Vorgange bei denen Bewegungen erfol- 
gen, die eine Gefahr fur Mensch oder Maschine darstellen 
(13). Obwohl die Steuerung (1) die notwendige Logik fur 
die Sicherheitsanforderung enthalt, kann sie im Fehlerfall 
nicht einwandfrei reagieren, da entweder sie selbst oder eine 
ihrer dezentralen Einheiten fehlerbehaftet sein kann, diese 
aber nicht kontrolliert werden. Das Steuerungssystem ist da- 
mit nicht in der Lage, einen Fehler abzuwehren, da jegliche 
Fehlererkennung fehlt 

Entsprechend der Aufgabe des Patents nach Anspruch 1 
werden zur Erreichung der sicheren Fehlererkennung und 
zur ProzeBabschaltung die grau hinterlegten Komponenten 
hinzugefUgt Die Oberwachungseinheit (2) wird in der 
Funktion eines Horers (Listener) an den Bus angeschlossen. 
Sie braucht damit nicht von der Steuerung berUcksichtigt zu 
werden, da sie nur passiv sich der Daten des Bus-Systems 
(3) bedient. Die Oberwachungseinheit (2) ist iiber die auf 
dem Bus laufenden Daten iiber alle Zustande und Abiaufe 
im ProzeB und insbesondere iiber die Zustande der ProzeB- 
gr&Ben informiert Im Prinzip ist sie damit in der Lage, die 
sicherheitsrelevanten Zustande zu Uberpriifen. Zur Bewalti- 
gung dieser Aufgabe enthalt sie ein einf aches Programm 
daB nur die Sicherbeitsfunktionen als Logik Uberwacht 
(z. B.: Gitterkontrolle, AnlaufUberwachung, Endschalter- 
test, usw.). Im Fehlerfall der Steuerung (1) kann damit die 
Oberwachungseinheit (2) geeignete MaBnahmen ergreifen. 
Diese Fehlererkennung funktioniert jedoch nur dann, wenn 
die Steuerungseinheit (1) als Verursacher fungiert. Fehler in 
den dezentralen Einheiten oder im ProzeB werden von bei- 
den Einheiten (Steuerungseinheit (1) oder Oberwachungs- 
einheit (2)) nicht registries Eine vollstandige Kontrolle ge- 
lingt daher nur mi tie Is spezieller dezentraler Einheiten, die 
ihre eigene Funktion oder sogar die Sensorik im redundant 
ProzeB abfragen. Entsprechend des Anspruchs 1 gehoren 
zum Verfahren aucb dezentrale Einheiten, die selbst Sicher- 
heitsanforderungen genUgen. Hierzu gehtirt insbesondere 
die Oberwachung der eigenen Funktion und die Sicherheits- 
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abschaltung im Fehlerfall (bei Ausfall des Bus-Systems (3) 
oder bei fehlerhaften Ein- oder Ausgabe). 

Die Oberwachungseinheit (2) erkennt somit eindeutig ei- 
nen Fehler, sofern er im sicherheitsrelevanten Programm als 
Logik hinterlegt ist Es bleibt der speziellen Projektierung 5 
iiberlassen, in welcber Form eine geeignete Sicherheitsab- 
schaltung erfolgt Im einfachsten Fall kann die Oberwa- 
chungseinheit (2) das Bus-System (3) unterbrechen oder 
kurzschlieBen. Damit unterbindet sie die Dateniibertragung 
und die dezentralen Einheiten (7, 9) fallen in einen sicheren 10 
Zustand. Denkbar ist aber auch ein gezieltes Abschalten der 
Stromversorgung oder ein langsames Herunterfahren des 
ProzeBablaufs. 

Patentansprilche 15 

1. Verfahren zur Sicherheitsuberwachung von Steue- 
rungseinrichtungen, bei denen Speicherprogrammier- 
bare Steuemngen oder Mikrorechner liber ein Bus-Sy- 
stem dezentrale Einheiten ansprechen, die einen Pro- 20 
zeB sowohl im sicherheitsrelevanten als auch im nicht- 
sicherheitsrelevanten Bereich regeln, steuern oder 
uberwachen, dadurch gekennzeichnet, daB zur Reali- 
sierung der Sicherheitsanforderung eine Oberwa- 
chungseinheit (2) hinzugefugt wird, die entweder aus- 25 
schlieBlich oder vorwiegend die sicherheitsbehafteten 
Funktionen des Prozesses (12) mit der notwendigen 
Logik zur Oberwachung gefahrbringender Ablaufe 
oder Bewegungen (13) hinzugefugt wird, die selbst nur 
Uber das Bus-System (3), welches als Standard erhalten 30 
bleibt und keinerlei Zusatzfunktion bedarf, eine Htirer- 
Funktion erhalt und damit zusatzlich zum Gesamtpro- 
zefi adaptierbar ist, diese mit sicherheitsgerichteten de- 
zentralen Einheiten (7, 9) kommuniziert und parallel 
zum GesamtprozeB alle Sicherheitsfunktionen Uber- 35 
wacht und nur im Fehlerfall Uber die dezentralen Ein- 
heiten (7, 9) oder sonstigen Sicherheitseinrichtungen 
den sicheren Maschinen- bzw. Anlagenzustand herbei- 
fiihrt 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 40 
net, daB die Oberwachungseinheit (2) Uber eine in der 
Programmiersprache festgelegten Logik verfUgt, die 
entweder ausschlieBlich oder vorwiegend Sicherheits- 
vorgange uberwacht und damit redundant zur Gesamt- 
steuerung arbeitet. 45 

3. Verfahren nach den AnsprUchen 1 und 2, dadurch 
gekennzeichnet, daB die Oberwachungseinheit (2) auch 
nach der Funktionskontrolle des nicht redundanten 
Steuerungssystems mit ihren fur die Sicherheit notwen- 
digen Abschaltfunktionen adaptierbar ist und durch 50 
ihre Sicherheitsfunktion der geforderte Grad an Sicher- 
heit projektiert werden kann. 

4. Verfahren nach den AnsprUchen 1 bis 3, dadurch ge- 
kennzeichnet, dafi die Oberwachungseinheit (2) und 
die sicherheitsgerichteten dezentralen Einheiten (7, 9) 55 
deaktiviert werden kflnnen, ohne die einkanalige 
Steuerungsfunktion zu beeintrachtigen. 

5. Verfahren nach den AnsprUchen 1 bis 4, dadurch ge- 
kennzeichnet, dafi durch eine bustechnische Mithor- 
funktion der Oberwachungseinheit (2) keine Ruckwir- 60 
kung auf den eigentlichen Steuerungsprozefi entsteht, 

so daB eine weitgehende Irennung zwischen der Hard- 
und Software des nicht redundanten Steuerungssy- 
stems und der Sicherheitsuberwachung ermdglicht 
wird. 65 

6. Verfahren nach den AnsprUchen 1 bis 5, dadurch ge- 
kennzeichnet, daB die Oberwachungseinheit (2) Uber 
den normalen Datenverkehr des Bus-Systems (3) der 



Steuerungseinheit (1) alle notwendigen Zustande und 
Funktionen erhalt, die zur Oberwachung des nicht red- 
undanten Steuerungssystems notwendig sind. 

7. Verfahren nach den AnsprUchen 1 bis 6, dadurch ge- 
kennzeichnet, daB es an Standardbussysteme ohne Si- 
cherheitsprotokollerweiterung adaptierbar bzw. ein- 
bindbar ist. 

8. Verfahren nach den AnsprUchen 1 bis 7, dadurch ge- 
kennzeichnet, daB die dezentralen Einheiten, die si- 
cherheitsrelevante Funktionen erfassen und ansteuem, 
selbst ihre Funktion iiberwachen, moglicherweise Sen- 
soren oder Aktoren redundant uberwachen und bei 
Ausfall einer Funktion, beispielsweise bei Ausfall der 
Bus-Funktion, in den sichem Zustand schalten, der 
keine Gefahr mehr fur Mensch oder Maschine darstellt 

9. Verfahren nach den AnsprUchen 1 bis 8, dadurch ge- 
kennzeichnet, daB die Oberwachungseinheit (2) in ei- 
ner von dem nicht redundanten Steuerungssystem un- 
abhangigen Programmier- und Parametriersprache in 
ihren Sicherheitsfunktionen generiert werden. 

10. Verfahren nach den AnsprUchen 1 bis 9, dadurch 
gekennzeichnet, dafi die Oberwachungseinheit (2) ne- 
ben der Oberwachungsfunktion auch die Bedienung 
und Programmierung mittels eines integrierten 
Mensch-Maschinen-Interfaces erlaubt 
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